Protección de Datos archiva la denuncia de UPN por una brecha de seguridad en Hacienda

Indica que el Gobierno, al conocer la vulnerabilidad, aplicó las medidas correctoras antes incluso de lo que la norma le exigía - Se detectaron varios accesos ilegítimos, circunscritos al propio particular que denunció

Enrique Conde - Jueves, 30 de Agosto de 2018 - Actualizado a las 06:01h.

pamplona - La Agencia Española de Protección de Datos (AEPD) ha archivado una denuncia que presentó Unión del Pueblo de Navarra (UPN) contra la Hacienda Tributaria cuando se enteró por la prensa de que un ciudadano particular había detectado una brecha de seguridad en los datos de los contribuyentes, una vulnerabilidad informática a la que la Hacienda Foral y la Dirección General de Informática, Telecomunicaciones e Innovación Pública reaccionaron con celeridad aplicando las medidas correctoras en el sistema una vez que detectó la quiebra de seguridad. La denuncia coincidió con la campaña de la Renta de este año.

Además, según demostró la investigación llevada a cabo, el propio particular denunciante fue la única persona que había llevado a cabo los accesos ilegítimos a datos de otras personas, que fue precisamente lo que luego denunció ante la Policía Foral y que, posteriormente, UPN lo convirtió en munición para la batalla política. Así, ahora, la directora de la AEPD, Mar España Martí, expone en la resolución de archivo que la quiebra de seguridad se solventó en pocas horas después de que fuera denunciada por un ciudadano en un ataque masivo que él mismo realizó en la credencial DNI+PIN para acceder a sus datos como contribuyente y que, al parecer, le permitían también tener otros accesos ilegítimos.

La Agencia resuelve que el Gobierno foral cumplió con lo establecido en el Reglamento de Protección de Datos (RGPD) que regula esta casuística y que iba a entrar en vigor el 25 de mayo de 2018.

La denuncia del particular se produjo el 19 de abril de este año y la Hacienda Tributaria, a pesar de no estar obligada a notificar la quiebra de seguridad detectada, al haber sucedido con anterioridad al mencionado 25 de mayo (fecha en la que entraba en vigor el reglamento), procedió a notificarla y a cumplir lo establecido ante esta situación en el RGPD. En dicha normativa se expone que las violaciones de seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas. Por ello, el responsable del tratamiento de dichos datos que tenga conocimiento de la violación de la seguridad de dichos datos debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación a la autoridad de control competente, a menos que pueda demostrar la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y libertades de las personas.

UPN acudió el 4 de mayo a la AEPD para denunciar esa supuesta brecha de seguridad de contribuyentes y lo hizo aportando una información de prensa. Además, solicitó las comparecencias de los consejeros de Hacienda, Mikel Aranburu;y de Presidencia, Función Pública, Interior y Justicia, María José Beaumont, así como del director general de Informática, Telecomunicaciones e Innovación Pública, Mikel Sagüés, que comparecieron el 30 de mayo.

no retiró la denuncia Pese a la exhaustiva información que se le facilitó al grupo regionalista en aquella comparecencia, UPN prosiguió con el procedimiento y no retiró la denuncia ahora archivada por el máximo órgano especializado en la protección de datos.

En la resolución se especifica que “la vulnerabilidad no suponía en sí misma la exposición no autorizada de información a terceros, pero sí un riesgo alto de robo de credenciales con lo que se podía suplantar la legítima identidad de una tercera persona y acceder a su información condiencial”. Los especialistas del Gobierno detectaron tres direcciones IP desde las que existen sospechas fundadas de que se había realizado un ataque de fuerza bruta contra algunas credenciales afectadas. Entre el 25 de abril y el 14 de mayo se procedió a revocar preventivamente las credenciales de estas personas y se les comunicó a los propios afectados el 22 de mayo, para que una vez de ser informados del servicio accedido, la fecha y hora y el identificador IP se pudiera comprobar la legitimidad o no de dichos accesos”.

El Gobierno constató de esa forma la vulnerabilidad detectada por un ciudadano, que fue explotada y comprometió la credencial DNI+PIN (las claves concertadas para acceder a las declaraciones de la renta) de varios ciudadanos accediendo a numerosa información confidencial. Todos estos ataques se realizaron desde tres direcciones IP, en franjas temporales que no se solapan entre sí y que coinciden con los días en el que el propio ciudadano ha reconocido haber realizado sus pruebas para comprobar que la vulnerabilidad era explotable”.

Además, el ciudadano en cuestión puede ser relacionado con las tres direcciones de ordenador ya que realizó accesos desde ellas. Por ello, “cabe concluir que la exposición de datos que dio lugar al ataque se circunscribe únicamente a la actividad desarrollada por el propio ciudadano que detectó la vulnerabilidad y que la comunicó al Gobierno de Navarra”.